OT: Vysosání souborů z tcpdump/wireshark capture

[Jaroslav Lukesh]

Jakkoli se vám může zdát některé moje tvrzení absurdní, já nekecám. Akorát 
si někdy nemůžu vzpomenout, kde jsem k tomu přišel. Naštěstí pro mně mi 
google na třetí pokus vyplivnul toto.

http://blog.davidvassallo.me/2011/03/22/squid-transparent-ssl-interception/


----- Původní zpráva ----- 
Od: "Jindroush" <kubecj na asw.cz>


Nelze. Vzdy se jedna o retezec podepsanych certifikatu (chain),
vychazejici z korenovych certifikatu (root cert). Browser (ssl knihovna)
ma seznam trusted korenovych certifikatu. Na skutecny, nerozpoznatelny
MITM byste musel mit
a) faked cert pro organizaci X - vygeneruje kdokoli kdykoli
b) podepsany korenovym certifikatem, kteremu veri zarizeni -
nevygeneruje nikdo (s pravdepodobnosti blizici se 100%, ale ne 100% :) )
c) v pripade echt paranoidnich setupu, napr. pri pouzivani Chrome ani
toto uz nepomuze, viz cert pinning.


Takze moje tvrzeni - zarizeni, ktere se necha opit rohlikem ve forme
faked mitm certu je debyl a zaslouzi si to. Zadne rozumne
zarizeni/knihovna toto neumozni.

On 28.7.2012 21:33, Jaroslav Lukesh wrote:
> Ano, toto si většina té menšiny lidí mylně myslí. Jenže certifikát lze
> nahradit jiným, tzv. divokým.
>
> ----- Původní zpráva ----- Od: "Jindroush" <kubecj na asw.cz>
>
>
> Jak nepozna? Okamzite prestanou sedet certifikaty a zarizeni, ktery si
> je nehlida, je proste debyl ;)
>
> Klicova slova budou SSL MITM.
>
> On 28.7.2012 20:05, Jaroslav Lukesh wrote:
>> i https lze obejít pomocí transparentní https proxy (přesný buzzword si
>> nepamatuji), třeba takový squid to umí a většina klientů to ani nepozná.
>>
>>
>> ----- Původní zpráva ----- Od: "Na" <navrhpcb na gmail.com>
>>
>>
>> az se o vas dozvědí, tak přejdou na https :-)
>>
>> Jak si to zarizeni udela session cokies? V zarizeni je nejspise linux a
>> nejde to rootnout a odchytit ten soubor primo v zarizeni?